NISP(CISP)練習(xí)測試試題

第頁NISP(CISP)練習(xí)測試卷1.在入侵檢測（IDS）的運(yùn)行中，最常見的問題是：（）A、誤報(bào)檢測B、接收陷阱消息C、誤拒絕率D、拒絕服務(wù)攻擊【正確答案】：A2.老王是某政府信息中心主任。以下哪項(xiàng)項(xiàng)目是符合《保守國家秘密法》要求的()A、老王安排下屬小李將損害的涉密計(jì)算機(jī)某國外品牌硬盤送到該品牌中國區(qū)維修中心修理B、老王要求下屬小張把中心所有計(jì)算機(jī)貼上密級標(biāo)志C、老王每天晚上12點(diǎn)將涉密計(jì)算機(jī)連接上互聯(lián)網(wǎng)更新殺毒軟件病毒庫D、老王提出對加密機(jī)和紅黑電源插座應(yīng)該與涉密信息系統(tǒng)同步投入使用【正確答案】：D3.以下哪一項(xiàng)不屬于信息安全工程監(jiān)理模型的組成部分：A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過程D、監(jiān)理組織安全實(shí)施【正確答案】：D解析：

監(jiān)理模型組成包括監(jiān)理咨詢支撐要素、監(jiān)理咨詢階段過程、控制和管理手段。4.在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動是：A、建立環(huán)境B、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃C、持續(xù)的監(jiān)視與評審風(fēng)險(xiǎn)D、持續(xù)改進(jìn)信息安全管理過程【正確答案】：D解析：

持續(xù)改進(jìn)信息安全管理過程屬于處置(ACT)階段。5.某單位需要開發(fā)一個(gè)網(wǎng)站，為了確保開發(fā)出安全的軟件。軟件開發(fā)商進(jìn)行了OA系統(tǒng)的威脅建模，根據(jù)威

脅建模，SQL注入是網(wǎng)站系統(tǒng)面臨的攻擊威脅之一，根據(jù)威脅建模的消減威脅的做法。以下哪個(gè)屬于修改設(shè)

計(jì)消除威脅的做法（）A、在編碼階段程序員進(jìn)行培訓(xùn)，避免程序員寫出存在漏洞的代碼B、對代碼進(jìn)行嚴(yán)格檢查，避免存在SQL注入漏洞的腳本被發(fā)布C、使用靜態(tài)發(fā)布，所有面向用戶發(fā)布的數(shù)據(jù)都使用靜態(tài)頁面D、在網(wǎng)站中部署防SQL注入腳本，對所有用戶提交數(shù)據(jù)進(jìn)行過濾【正確答案】：C6.在數(shù)據(jù)庫安全性控制中，授權(quán)的數(shù)據(jù)對象，授權(quán)子系統(tǒng)就越靈活?A、粒度越小B、約束越細(xì)致C、范圍越大D、約束范圍大【正確答案】：A解析：

數(shù)據(jù)粒度越細(xì)則授權(quán)策略越靈活便利。7.小李去參加單位組織的信息安全管理體系（InformationSecurityManagementSystem.ISMS）的理解畫了一下一張圖(圖中包括了規(guī)劃建立、實(shí)施運(yùn)行、（）、保持和改進(jìn)），但是他還存在一個(gè)空白處未填寫，請幫他選擇一個(gè)最合適的選項(xiàng)（）。A、監(jiān)控和反饋ISMSB、批準(zhǔn)和監(jiān)督ISMSC、監(jiān)視和評審ISMSD、溝通和咨詢ISMS【正確答案】：C解析：

管理體系PDCA分別指的階段是：P-規(guī)劃建立、D-實(shí)施運(yùn)行、C-監(jiān)視和評審、A-保持和改進(jìn)。8.以下關(guān)于UDP協(xié)議的說法，哪個(gè)是錯(cuò)誤的?A、UDP具有簡單高效的特點(diǎn)，常被攻擊者用來實(shí)施流量型拒絕服務(wù)攻擊B、UDP協(xié)議包頭中包含了源端口號和目的端口號，因此UDP可通過端口號將數(shù)據(jù)包送達(dá)正確的程序C、相比TCP協(xié)議，UDP協(xié)議的系統(tǒng)開銷更小，因此常用來傳送如視頻這一類高流量需求的應(yīng)用數(shù)據(jù)D、UDP協(xié)議不僅具有流量控制，超時(shí)重發(fā)等機(jī)制，還能提供加密等服務(wù)，因此常用來傳輸如視頻會話這類需要隱私保護(hù)的數(shù)據(jù)【正確答案】：D解析：

UDP協(xié)議無流量控制，超時(shí)重發(fā)等機(jī)制。9.相比文件配置表(FAT)文件系統(tǒng)，以下哪個(gè)不是新技術(shù)文件系統(tǒng)(NTFS)所具有的優(yōu)勢?A、NTFS使用事務(wù)日志自動記錄所有文件夾和文件更新，當(dāng)出現(xiàn)系統(tǒng)損壞和電源故障等問題，而引起操作失敗后，系統(tǒng)能利用日志文件重做或恢復(fù)未成功的操作B、NTFS的分區(qū)上，可以為每個(gè)文件或文件夾設(shè)置單獨(dú)的許可權(quán)限C、對于大磁盤，NTFS文件系統(tǒng)比FAT有更高的磁盤利用率D、相比FAT文件系統(tǒng)，NTFS文件系統(tǒng)能有效的兼容linux下EXT2文件格式【正確答案】：D解析：

NTFS不能兼容EXT文件系統(tǒng)。10.某社交網(wǎng)站的用戶點(diǎn)擊了該網(wǎng)站上的一個(gè)廣告。該廣告含有一個(gè)跨站腳本，會將他的瀏覽器定向到旅游網(wǎng)站，旅游網(wǎng)站則獲得了他的社交網(wǎng)絡(luò)信息。雖然該用戶沒有主動訪問該旅游網(wǎng)站，但旅游網(wǎng)站已經(jīng)截獲了他的社交網(wǎng)絡(luò)信息（還有他的好友們的信息），于是犯罪分子便可以躲藏在社交網(wǎng)站的廣告后面，截獲用戶的個(gè)人信息了，這種向Web頁面插入惡意html代碼的攻擊方式稱為（）A、分布式拒絕服務(wù)攻擊B、跨站腳本攻擊C、SQL注入攻擊D、緩沖區(qū)溢出攻擊【正確答案】：B11.信息安全風(fēng)險(xiǎn)等級的最終因素是：A、威脅和脆弱性B、影響和可能性C、資產(chǎn)重要性D、以上都不對【正確答案】：B解析：

影響指的就是安全事件的損失，可能性指的是安全事件的可能性。12.信息安全工程作為信息安全保障的重要組成部門，主要是為了解決:A、信息系統(tǒng)的技術(shù)架構(gòu)安全問題B、信息系統(tǒng)組成部門的組件安全問題C、信息系統(tǒng)生命周期的過程安全問題D、信息系統(tǒng)運(yùn)行維護(hù)的安全管理問題【正確答案】：C解析：

正確的答案為C。13.關(guān)于計(jì)算機(jī)取取證描述不正確的是（）A、計(jì)算機(jī)取證是使用先進(jìn)的技術(shù)和工具，按照標(biāo)準(zhǔn)規(guī)程全面的檢查計(jì)算機(jī)系統(tǒng)以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪

的相關(guān)證據(jù)的活動B、取證的目的包括通過證據(jù)，查找肇事者，通過證據(jù)推斷犯罪過程，通過證據(jù)判斷受害者損失程度及涉及證

據(jù)提供法律支持C、電子證據(jù)是計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的各種信息記錄及存儲的電子化資料及物品，對于電子證據(jù)取證工

作主要圍繞兩方面進(jìn)行證據(jù)的獲取和證據(jù)的保護(hù)D、計(jì)算機(jī)取證的過程，可以分為準(zhǔn)備，保護(hù)，提取，分析和提交五個(gè)步驟【正確答案】：C14.我國信息安全保障工作先后經(jīng)歷啟動、逐步展開和積極推進(jìn)，以及深化落實(shí)三個(gè)階段，以下關(guān)于我國信息安全保障各階段說法不正確的是：A、2001國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動B、2003年7月，國家信息化領(lǐng)導(dǎo)小組制定出臺了《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)27號文），明確了“積極防御、綜合防范“的國家信息安全保障方針C、2003年中辦發(fā)27號文件的發(fā)布標(biāo)志著我國信息安全保障進(jìn)入深化落實(shí)階段

D.在深化落實(shí)階段，信息安全法律法規(guī)、標(biāo)準(zhǔn)化，信息安全基礎(chǔ)設(shè)施建設(shè)，以及信息安全等級保護(hù)和風(fēng)險(xiǎn)評估取得了新進(jìn)展?！菊_答案】：C解析：

2006年進(jìn)入到深化落實(shí)階段。15.應(yīng)用軟件的數(shù)據(jù)存儲在數(shù)據(jù)庫中，為了保證數(shù)據(jù)安全，應(yīng)設(shè)置良好的數(shù)據(jù)庫防護(hù)策略，以下不屬于數(shù)據(jù)庫防護(hù)策略的是?A、安裝最新的數(shù)據(jù)庫軟件安全補(bǔ)丁B、對存儲的敏感數(shù)據(jù)進(jìn)行安全加密C、不使用管理員權(quán)限直接連接數(shù)據(jù)庫系統(tǒng)D、定期對數(shù)據(jù)庫服務(wù)器進(jìn)行重啟以確保數(shù)據(jù)庫運(yùn)行良好【正確答案】：D解析：

D屬于運(yùn)行安全操作，不屬于安全防護(hù)策略。16.陳工學(xué)習(xí)了信息安全風(fēng)險(xiǎn)的有關(guān)知識，了解到信息安全風(fēng)險(xiǎn)的構(gòu)成過程，有五個(gè)方面：起源、方式、途徑、受體和后果，他畫了下面這張圖來描述信息安全風(fēng)險(xiǎn)的構(gòu)成過程，圖中空白處應(yīng)填寫？

A、信息載體B、措施C、脆弱性D、風(fēng)險(xiǎn)評估【正確答案】：C17.以下對于信息安全事件理解錯(cuò)誤的是：A、信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響的事件B、對信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分C、應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D、通過部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生【正確答案】：D解析：

安全事件無法杜絕。18.小華在某電子商務(wù)公司工作，某天他在查看信息系統(tǒng)設(shè)計(jì)文檔時(shí)，發(fā)現(xiàn)其中標(biāo)注該信息系統(tǒng)的RPO（恢復(fù)點(diǎn)目標(biāo)）指標(biāo)為3小時(shí)。請問這意味著（）A、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)到位，完成問題定位和應(yīng)急處理工作B、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員應(yīng)在3小時(shí)內(nèi)完整應(yīng)急處理工作并恢復(fù)對外運(yùn)行C、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)至少能提供3小時(shí)的緊急業(yè)務(wù)服務(wù)能力D、該信息系統(tǒng)發(fā)生重大安全事件后，工作人員在完成處置和災(zāi)難恢復(fù)工作后，系統(tǒng)至多能丟失3小時(shí)的業(yè)務(wù)數(shù)據(jù)【正確答案】：D19.某單位信息安全崗位員工，利用個(gè)人業(yè)余時(shí)間，在社交網(wǎng)絡(luò)平臺上向業(yè)內(nèi)同不定期發(fā)布信息安全相關(guān)知識和前沿動態(tài)資訊，這一行為主要符合以下哪一條注冊信息安全專業(yè)人員（CISP）職業(yè)道德準(zhǔn)則：A、避免任何損害CISP聲譽(yù)形象的行為B、自覺維護(hù)公眾信息安全，拒絕并抵制通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)泄露個(gè)人隱私的行為C、幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力D、不在公眾網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件【正確答案】：C解析：

C為正確描述。20.恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）是信息系統(tǒng)災(zāi)難恢復(fù)中的重要概念，關(guān)于這兩個(gè)值能否為零，正確的選項(xiàng)是（）A、RTO可以為0，RPO也可以為0B、RTO可以為0，RPO不可以為0C、RTO不可以為0，但RPO可以為0D、RTO不可以為0，RPO也不可以為0【正確答案】：A解析：

RTO可以為0，RPO也可以為0。21.某公司開發(fā)了一個(gè)游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時(shí)總是會丟失一些數(shù)據(jù)，如一次性傳輸大于2000個(gè)字節(jié)數(shù)據(jù)時(shí)，總是會有3到5個(gè)字節(jié)不能傳送到對方，關(guān)于此案例，可以推斷的是（）A、該網(wǎng)站軟件存在保密性方面安全問題B、該網(wǎng)站軟件存在完整性方面安全問題C、該網(wǎng)站軟件存在可用性方面安全問題D、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題【正確答案】：B解析：

題干描述的是完整性。22.小牛在對某公司的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估后，因考慮到該業(yè)務(wù)系統(tǒng)中部分涉及金融交易的功能模塊風(fēng)險(xiǎn)太高，他建議該公司以放棄這個(gè)功能模塊的方式來處理風(fēng)險(xiǎn)，請問這種風(fēng)險(xiǎn)處置的方法是（）A、降低風(fēng)險(xiǎn)B、規(guī)避風(fēng)險(xiǎn)C、放棄風(fēng)險(xiǎn)D、轉(zhuǎn)移風(fēng)險(xiǎn)【正確答案】：B解析：

風(fēng)險(xiǎn)處理方式包括降低、規(guī)避、接受和轉(zhuǎn)移四種方式。23.某公司已有漏洞掃描和入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)產(chǎn)品，需要購買防火墻，以下做法應(yīng)當(dāng)優(yōu)先考慮的是：A、選購當(dāng)前技術(shù)最先進(jìn)的防火墻即可B、選購任意一款品牌防火墻C、任意選購一款價(jià)格合適的防火墻產(chǎn)品D、選購一款同已有安全產(chǎn)品聯(lián)動的防火墻【正確答案】：D解析：

在技術(shù)條件允許情況下，可以實(shí)現(xiàn)IDS和FW的聯(lián)動。24.在可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC）中，下列哪一項(xiàng)是滿足強(qiáng)制保護(hù)要求的最低級別？A、C2B、C1C、B2D、B1【正確答案】：D解析：

答案為B1。25.關(guān)于監(jiān)理過程中成本控制，下列說法中正確的是?A、成本只要不超過預(yù)計(jì)的收益即可B、成本應(yīng)控制得越低越好C、成本控制由承建單位實(shí)現(xiàn)，監(jiān)理單位只能記錄實(shí)際開銷D、成本控制的主要目的是在批準(zhǔn)的預(yù)算條件下確保項(xiàng)目保質(zhì)按期完成【正確答案】：D解析：

D為正確答案。26.信息系統(tǒng)安全工程(ISSE)的一個(gè)重要目標(biāo)就是在IT項(xiàng)目的各個(gè)階段充分考慮安全因素，在IT項(xiàng)目的立項(xiàng)階段，以下哪一項(xiàng)不是必須進(jìn)行的工作：A、明確業(yè)務(wù)對信息安全的要求B、識別來自法律法規(guī)的安全要求C、論證安全要求是否正確完整D、通過測試證明系統(tǒng)的功能和性能可以滿足安全要求【正確答案】：D解析：

D屬于項(xiàng)目的驗(yàn)收階段，不屬于IT項(xiàng)目的立項(xiàng)階段，題干屬于立項(xiàng)階段。27.組織建立業(yè)務(wù)連續(xù)性計(jì)劃（BCP)的作用包括：A、在遭遇災(zāi)難事件時(shí)，能夠最大限度地保護(hù)組織數(shù)據(jù)的實(shí)時(shí)性，完整性和一致性；B、提供各種恢復(fù)策略選擇，盡量減小數(shù)據(jù)損失和恢復(fù)時(shí)間，快速恢復(fù)操作系統(tǒng)、應(yīng)用和數(shù)據(jù)；C、保證發(fā)生各種不可預(yù)料的故障、破壞性事故或?yàn)?zāi)難情況時(shí)，能夠持續(xù)服務(wù)，確保業(yè)務(wù)系統(tǒng)的不間斷運(yùn)行，降低損失；D、以上都是?！菊_答案】：D解析：

正確答案為D。28.Kerberos協(xié)議是一種集中訪問控制協(xié)議，他能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，為用戶提供安全的單點(diǎn)登錄服務(wù)。單點(diǎn)登錄是指用戶在網(wǎng)絡(luò)中進(jìn)行一次身份認(rèn)證，便可以訪問其授權(quán)的所有網(wǎng)絡(luò)資源，而不在需要其他的認(rèn)證過程，實(shí)質(zhì)是消息M在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。其中消息M是指以下選項(xiàng)中的()A、安全憑證B、用戶名C、加密密鑰D、會話密鑰【正確答案】：A解析：

安全憑證指的是服務(wù)許可票據(jù)。29.2006年5月8日電，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《2006-2020年國家信息化發(fā)展戰(zhàn)略》。全

文分（）部分共計(jì)約15000余字。對國內(nèi)外的信息化發(fā)展做了宏觀分析，對我國信息化發(fā)展指導(dǎo)思想和戰(zhàn)略

目標(biāo)標(biāo)準(zhǔn)要闡述，對我國（）發(fā)展的重點(diǎn)、行動計(jì)劃和保障措施做了詳盡描述。該戰(zhàn)略指出了我國信息化發(fā)

展的（），當(dāng)前我國信息安全保障工作逐步加強(qiáng)。制定并實(shí)施了（）,初步建立了信息安全管理體制和（）。

基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護(hù)水平明顯提高，互聯(lián)網(wǎng)信息安全管理進(jìn)一步加強(qiáng)。A、5個(gè)；信息化；基本形勢；國家安全戰(zhàn)略；工作機(jī)制B、6個(gè)；信息化；基本形勢；國家信息安全戰(zhàn)略；工作機(jī)制C、7個(gè)；信息化；基本形勢；國家安全戰(zhàn)略；工作機(jī)制D、8個(gè)；信息化；基本形勢；國家信息安全戰(zhàn)略；工作機(jī)制【正確答案】：B30.下面哪個(gè)模型和軟件安全開發(fā)無關(guān)（）？A、微軟提出的“安全開發(fā)生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成為軟件開發(fā)必須的部分（BuildingSecurityIN，BSI）”C、OWASP維護(hù)的“軟件保證成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）”【正確答案】：D解析：

D與軟件安全開發(fā)無關(guān)，ABC均是軟件安全開發(fā)模型。31.數(shù)字簽名不能實(shí)現(xiàn)的安全特性為（）A、防抵賴B、防偽造C、防冒充D、保密通信【正確答案】：D32.以下屬于哪一種認(rèn)證實(shí)現(xiàn)方式：用戶登錄時(shí)，認(rèn)證服務(wù)器（AuthenticationServer，AS)產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)送給用戶，用戶用某種單向算法將自己的口令、種子秘鑰和隨機(jī)數(shù)混合計(jì)算后作為一次性口令，并發(fā)送給AS,AS用同樣的方法計(jì)算后，驗(yàn)證比較兩個(gè)口令即可驗(yàn)證用戶身份。A、口令序列B、時(shí)間同步C、挑戰(zhàn)/應(yīng)答D、靜態(tài)口令【正確答案】：C解析：

題干描述的是C的解釋。33.對系統(tǒng)工程（SystemsEngineering，SE）的理解，以下錯(cuò)誤的是：A、系統(tǒng)工程偏重于對工程的組織與經(jīng)營管理進(jìn)行研究B、系統(tǒng)工程不屬于技術(shù)實(shí)現(xiàn)，而是一種方法論C、系統(tǒng)工程不是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法D、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法【正確答案】：C解析：

系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法。34.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制（ACL）來表示，該ACL利用在客體上附加一個(gè)主體明細(xì)表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項(xiàng)中說法正確的是（）ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時(shí)，去除該用戶所有的訪問權(quán)限比較方便C、ACL對于統(tǒng)計(jì)某個(gè)主體能訪問哪些客體比較方便D、ACL在增加客體時(shí)，增加相關(guān)的訪問控制權(quán)限較為簡單【正確答案】：D35.信息系統(tǒng)安全保障評估概念和關(guān)系如圖所示。信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運(yùn)行環(huán)境

中對信息系統(tǒng)安全保障的具體工作和活動進(jìn)行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的（），向信

息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的（）能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受

的程度的主觀信心。信息系統(tǒng)安全保障評估的評估對象是（），信息系統(tǒng)不僅包含了僅討論技術(shù)的信息技術(shù)

系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。信息系統(tǒng)安全保障是一個(gè)動態(tài)持續(xù)的過程，

涉及信息系統(tǒng)整個(gè)（），因此信息系統(tǒng)安全保障的評估也應(yīng)該提供一種（）的信心。

A、安全保障工作；客觀證據(jù)；信息系統(tǒng)；生命周期；動態(tài)持續(xù)B、客觀證據(jù)；安全保障工作；信息系統(tǒng)；生命周期；動態(tài)持續(xù)C、客觀證據(jù)；安全保障工作；生命周期；信息系統(tǒng)；動態(tài)持續(xù)D、客觀證據(jù)；安全保障工作；動態(tài)持續(xù)；信息系統(tǒng)；生命周期【正確答案】：B36.如圖所示，主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用AH或者ESP的傳輸模式對流量進(jìn)行保護(hù)時(shí)，主機(jī)A和主機(jī)B的IP地址在應(yīng)該在下列哪個(gè)范圍？

A、~55B、~55C、~55D、不在上述范圍內(nèi)【正確答案】：D37.降低風(fēng)險(xiǎn)（或減低風(fēng)險(xiǎn)）指通過對面的風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)險(xiǎn)，下面那個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施（）A、減少威脅源，采用法律的手段制裁計(jì)算機(jī)的犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機(jī)B、簽訂外包服務(wù)合同，將有計(jì)算難點(diǎn)，存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過簽訂外部合同的方式交予第三方公司完成，通過合同責(zé)任條款來應(yīng)對風(fēng)險(xiǎn)C、減低威脅能力，采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力D、減少脆弱性，及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性【正確答案】：B解析：

B屬于轉(zhuǎn)移風(fēng)險(xiǎn)。38.組織第一次建立業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，最為重要的活動是：A、制定業(yè)務(wù)連續(xù)性策略B、進(jìn)行業(yè)務(wù)影響分析C、進(jìn)行災(zāi)難恢復(fù)演練D、構(gòu)建災(zāi)備系統(tǒng)【正確答案】：A39.以下哪一項(xiàng)不是我國信息安全保障的原則：A、立足國情，以我為主，堅(jiān)持以技術(shù)為主B、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C、統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作D、明確國家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系【正確答案】：A解析：

A的正確描述為立足國情，以我為主，堅(jiān)持以技術(shù)和管理并重。40.ApacheWeb服務(wù)器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpd.confB、srLconfC、access．ConfD、Inet.conf【正確答案】：A解析：

根據(jù)題干本題選擇A。41.口令破解是針對系統(tǒng)進(jìn)行攻擊的常用方法，windows系統(tǒng)安全策略中應(yīng)對口令破解的策略主要是帳戶策略中的帳戶鎖定策略和密碼策略，關(guān)于這兩個(gè)策略說明錯(cuò)誤的是A、密碼策略主要作用是通過策略避免擁護(hù)生成弱口令及對用戶的口令使用進(jìn)行管控B、密碼策略對系統(tǒng)中所有的用戶都有效C、賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊，能有效地保護(hù)所有系統(tǒng)用戶應(yīng)對口令暴力破解攻擊D、賬戶鎖定策略只適用于普通用戶，無法保護(hù)管理員administrator賬戶應(yīng)對口令暴力破解攻擊【正確答案】：D解析：

賬戶鎖定策略也適用于administrator賬戶。42.以下哪個(gè)屬性不會出現(xiàn)在防火墻的訪問控制策略配置中？A、本局域網(wǎng)內(nèi)地址B、百度服務(wù)器地址C、HTTP協(xié)議D、病毒類型【正確答案】：D解析：

病毒類型不會出現(xiàn)在防火墻的訪問控制策略中，病毒類型出現(xiàn)在反病毒網(wǎng)關(guān)中。43.以下關(guān)于可信計(jì)算說法錯(cuò)誤的是：A、可信的主要目的是要建立起主動防御的信息安全保障體系B、可信計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計(jì)算機(jī)和可信計(jì)算基的概念C、可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D、可信計(jì)算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護(hù)體系和方法【正確答案】：D解析：

可信計(jì)算平臺出現(xiàn)后不會取代傳統(tǒng)的安全防護(hù)體系和方法。44.實(shí)施災(zāi)難恢復(fù)計(jì)劃之后，組織的災(zāi)難前和災(zāi)難后運(yùn)營成本將：A、降低B、不變（保持相同）C、提高D、提高或降低（取決于業(yè)務(wù)的性質(zhì)）【正確答案】：C45.軟件安全設(shè)計(jì)和開發(fā)中應(yīng)考慮用戶穩(wěn)私包，以下關(guān)于用戶隱私保護(hù)的說法哪個(gè)是錯(cuò)誤的?A、告訴用戶需要收集什么數(shù)據(jù)及搜集到的數(shù)據(jù)會如何披使用B、當(dāng)用戶的數(shù)據(jù)由于某種原因要被使用時(shí)，給用戶選擇是否允許C、用戶提交的用戶名和密碼屬于穩(wěn)私數(shù)據(jù)，其它都不是D、確保數(shù)據(jù)的使用符合國家、地方、行業(yè)的相關(guān)法律法規(guī)【正確答案】：C解析：

個(gè)人隱私包括但不限于用戶名密碼、位置、行為習(xí)慣等信息。46.關(guān)于軟件安全問題，下面描述錯(cuò)誤的是（）A、軟件的安全問題可以造成軟件運(yùn)行不穩(wěn)定，得不到正確結(jié)果甚至崩潰B、軟件的安全問題應(yīng)該依賴于軟件開發(fā)的設(shè)計(jì)、編程、測試以及部署等各個(gè)階段措施解決C、軟件的安全問題可能被攻擊者利用后影響人身健康安全D、軟件的安全問題是由程序開發(fā)者遺留的，和軟件部署運(yùn)行環(huán)境無關(guān)【正確答案】：D47.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估結(jié)能否取得成果的重要基礎(chǔ)，按照規(guī)范的風(fēng)險(xiǎn)評估實(shí)施流程，下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識別階段的輸出成果（）A、《風(fēng)險(xiǎn)評估方案》B、《需要保護(hù)的資產(chǎn)清單》C、《風(fēng)險(xiǎn)計(jì)算報(bào)告》D、《風(fēng)險(xiǎn)程度等級列表》【正確答案】：B解析：

風(fēng)險(xiǎn)要素包括資產(chǎn)、威脅、脆弱性、安全措施。48.以下哪個(gè)是惡意代碼采用的隱藏技術(shù)：A、文件隱藏B、進(jìn)程隱藏C、網(wǎng)絡(luò)連接隱藏D、以上都是【正確答案】：D解析：

答案為D。49.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯(cuò)誤的是（）A、分組密碼算法要求輸入明文按組分成固定長度的塊B、分組密碼的算法每次計(jì)算得到固定長度的密文輸出塊C、分組密碼算法也稱作序列密碼算法D、常見的DES、IDEA算法都屬于分組密碼算法【正確答案】：C解析：

分組密碼算法和序列算法是兩種算法。50.以下哪一項(xiàng)不是我國國務(wù)院信息化辦公室為加強(qiáng)信息安全保障明確提出的九項(xiàng)重點(diǎn)工作內(nèi)容之一?A、提高信息技術(shù)產(chǎn)品的國產(chǎn)化率B、保證信息安全資金投入C、加快信息安全人才培養(yǎng)D、重視信息安全應(yīng)急處理工作【正確答案】：A解析：

提高信息技術(shù)產(chǎn)品的國產(chǎn)化率不屬于九項(xiàng)重點(diǎn)工作內(nèi)容之一。51.如圖所示，主體S對客體01有讀（R）權(quán)限，對客體02有讀（R）、寫（）權(quán)限。該圖所示的訪問控制實(shí)現(xiàn)方法是：

A、訪問控制表（ACL）B、訪問控制矩陣C、能力表（CL）D、前綴表（Profiles）【正確答案】：C52.以下關(guān)于Windows系統(tǒng)的賬號存儲管理機(jī)制（SecurityAccountsManager）的說法哪個(gè)是正確的：A、存儲在注冊表中的賬號數(shù)據(jù)是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數(shù)據(jù)只有administrator賬戶才有權(quán)訪問，具有較高的安全性C、存儲在注冊表中的賬號數(shù)據(jù)任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數(shù)據(jù)有只有System賬戶才能訪問，具有較高的安全性【正確答案】：D53.下系統(tǒng)工程說法錯(cuò)誤的是：A、系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)B、系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法C、系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法D、系統(tǒng)工程是一種方法論【正確答案】：A解析：

系統(tǒng)工程是方法論，不是技術(shù)實(shí)現(xiàn)。54.在某網(wǎng)絡(luò)機(jī)房建設(shè)項(xiàng)目中，在施工前，以下哪一項(xiàng)不屬于監(jiān)理需要審核的內(nèi)容：A、審核實(shí)施投資計(jì)劃B、審核實(shí)施進(jìn)度計(jì)劃C、審核工程實(shí)施人員D、企業(yè)資質(zhì)【正確答案】：A解析：

監(jiān)理從項(xiàng)目招標(biāo)開始到項(xiàng)目的驗(yàn)收結(jié)束，在投資計(jì)劃階段沒有監(jiān)理。55.在密碼學(xué)的Kerchhof假設(shè)中，密碼系統(tǒng)的安全性僅依賴于_______。A、明文B、密文C、密鑰D、信道【正確答案】：C56.在極限測試過程中，貫穿始終的是()A、單元測試和集成測試B、單元測試和系統(tǒng)測試C、集成測試和驗(yàn)收測試D、集成測試和系統(tǒng)測試【正確答案】：C解析：

單元測試，系統(tǒng)測試，驗(yàn)收測試，尤其包括單元和驗(yàn)收測試。57.關(guān)于補(bǔ)丁安裝時(shí)應(yīng)注意的問題，以下說法正確的是A、在補(bǔ)丁安裝部署之前不需要進(jìn)行測試，因?yàn)檠a(bǔ)丁發(fā)布之前廠商已經(jīng)經(jīng)過了測試B、補(bǔ)丁的獲取有嚴(yán)格的標(biāo)準(zhǔn),必須在廠商的官網(wǎng)上獲取C、信息系統(tǒng)打補(bǔ)丁時(shí)需要做好備份和相應(yīng)的應(yīng)急措施D、補(bǔ)丁安裝部署時(shí)關(guān)閉和重啟系統(tǒng)不會產(chǎn)生影響【正確答案】：C58.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安全風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是（）A、檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點(diǎn)是針對存在的問題進(jìn)行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)【正確答案】：B59.某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計(jì)時(shí)，為了避免數(shù)據(jù)誤操作，在管理員進(jìn)行訂單刪除時(shí)，需要由審核員進(jìn)行審核后該刪除操作才能生效，這種設(shè)計(jì)是遵循了發(fā)下哪個(gè)原則A、權(quán)限分離原則B、最小的特權(quán)原則C、保護(hù)最薄弱環(huán)節(jié)的原則D、縱深防御的原則【正確答案】：A60.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評估結(jié)能否取得成果的重要基礎(chǔ)，某單位在實(shí)施風(fēng)險(xiǎn)評估時(shí)，形成了《風(fēng)險(xiǎn)評估方案》并得到了管理決策層的認(rèn)可，在風(fēng)險(xiǎn)評估實(shí)施的各個(gè)階段中，該《風(fēng)險(xiǎn)評估方案》應(yīng)是如下()中的輸出結(jié)果。A、風(fēng)險(xiǎn)評估準(zhǔn)備階段B、風(fēng)險(xiǎn)要素識別階段C、風(fēng)險(xiǎn)分析階段D、風(fēng)險(xiǎn)結(jié)果判定階段【正確答案】：A解析：

《風(fēng)險(xiǎn)評估方案》屬于風(fēng)險(xiǎn)評估準(zhǔn)備階段的結(jié)果。61.在風(fēng)險(xiǎn)管理中，殘余風(fēng)險(xiǎn)是指實(shí)施了新的或增強(qiáng)的安全措施后還剩下的風(fēng)險(xiǎn)，關(guān)于殘余風(fēng)險(xiǎn)，下面描述錯(cuò)誤的是（）A、風(fēng)險(xiǎn)處理措施確定以后，應(yīng)編制詳細(xì)的殘余風(fēng)險(xiǎn)清單，并獲得管理層對殘余風(fēng)險(xiǎn)的書面批準(zhǔn)，這也是風(fēng)險(xiǎn)管理中的一個(gè)重要過程B、管理層確認(rèn)接收殘余風(fēng)險(xiǎn)，是對風(fēng)險(xiǎn)評估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險(xiǎn)，并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后，組織能夠且承擔(dān)引發(fā)的后果C、接收殘余風(fēng)險(xiǎn)，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制的提高安全保護(hù)措施的強(qiáng)度，對安全保護(hù)措施的選擇要考慮到成本和技術(shù)等因素的限制D、如果殘余風(fēng)險(xiǎn)沒有降低到可接受的級別，則只能被動的選擇接受風(fēng)險(xiǎn)，即對風(fēng)險(xiǎn)不進(jìn)行下一步的處理措施，接受風(fēng)險(xiǎn)可能帶來的結(jié)果?！菊_答案】：D解析：

如果殘余風(fēng)險(xiǎn)沒有降低到可接受的級別，則會被動的選擇接受殘余風(fēng)險(xiǎn)，但需要對殘余風(fēng)險(xiǎn)進(jìn)行進(jìn)一步的關(guān)注、監(jiān)測和跟蹤。62.在對某面向互聯(lián)網(wǎng)提供服務(wù)的某應(yīng)用服務(wù)器的安全檢測中發(fā)現(xiàn)，服務(wù)器上開放了以下幾個(gè)應(yīng)用，除了一個(gè)應(yīng)用外其他應(yīng)用都存在明文傳輸信息的安全問題，作為一名檢測人員，你需要告訴用戶對應(yīng)用進(jìn)行安全整改以外解決明文傳輸數(shù)據(jù)的問題，以下哪個(gè)應(yīng)用已經(jīng)解決了明文傳輸數(shù)據(jù)問題：A、SSHB、HTTPC、FTPD、SMTP【正確答案】：A解析：

SSH具備數(shù)據(jù)加密保護(hù)的功能。63.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實(shí)施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個(gè)控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。關(guān)鍵或敏感的信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)并受到相應(yīng)保護(hù)。該目標(biāo)可以通過以下控制措施來實(shí)現(xiàn)，不包括哪一項(xiàng)A、物理安全邊界、物理入口控制B、辦公室、房間和設(shè)施的安全保護(hù)。外部和環(huán)境威脅的安全防護(hù)C、在安全區(qū)域工作。公共訪問、交接區(qū)安全D、人力資源安全【正確答案】：D64.某政府機(jī)構(gòu)擬建設(shè)一機(jī)房，在工程安全監(jiān)理單位參與下制定了招標(biāo)文件，項(xiàng)目分二期，一期目標(biāo)為年內(nèi)實(shí)現(xiàn)系統(tǒng)上線運(yùn)營，二期目標(biāo)為次年上半年完成運(yùn)行系統(tǒng)風(fēng)險(xiǎn)的處理：招標(biāo)文件經(jīng)營管理層審批后發(fā)布，就此工程項(xiàng)目而言，以下正確的是：A、此項(xiàng)目將項(xiàng)目目標(biāo)分解為系統(tǒng)上線運(yùn)營和運(yùn)行系統(tǒng)風(fēng)險(xiǎn)處理分期實(shí)施，具有合理性和可行性B、在工程安全監(jiān)理的參與下，確保了此招標(biāo)文件的合理性C、工程規(guī)劃不符合信息安全工程的基本原則D、招標(biāo)文件經(jīng)營管理層審批，表明工程目標(biāo)符合業(yè)務(wù)發(fā)展規(guī)劃【正確答案】：C解析：

題目描述不符合信息安全工程的“同步規(guī)劃、同步實(shí)施”的基本原則。65.以下對Windows賬號的描述，正確的是：A、Windows系統(tǒng)是采用SID（安全標(biāo)識符）來標(biāo)識用戶對文件或文件夾的權(quán)限B、Windows系統(tǒng)是采用用戶名來標(biāo)識用戶對文件或文件夾的權(quán)限C、Windows系統(tǒng)默認(rèn)會生成administrator和guest兩個(gè)賬號，兩個(gè)賬號都不允許改名和刪除D、Windows系統(tǒng)默認(rèn)生成administrator和guest兩個(gè)賬號，兩個(gè)賬號都可以改名和刪除【正確答案】：A66.訪問控制是對用戶或用戶訪問本地或網(wǎng)絡(luò)上的域資源進(jìn)行法令一種機(jī)制。在Windows2000以后的操作系統(tǒng)版本中，訪問控制是一種雙重機(jī)制，它對用戶的授權(quán)基于用戶權(quán)限和對象許可，通常使用ACL、訪問令牌和授權(quán)管理器來實(shí)現(xiàn)訪問控制功能。以下選項(xiàng)中，對windows操作系統(tǒng)訪問控制實(shí)現(xiàn)方法的理解錯(cuò)誤的是（）ACL只能由管理員進(jìn)行管理B、ACL是對象安全描述的基本組成部分，它包括有權(quán)訪問對象的用戶和級的SIDC、訪問令牌存儲著用戶的SID，組信息和分配給用戶的權(quán)限D(zhuǎn)、通過授權(quán)管理器，可以實(shí)現(xiàn)基于角色的訪問控制【正確答案】：A67.某軟件公司準(zhǔn)備提高其開發(fā)軟件的安全性，在公司內(nèi)部發(fā)起了有關(guān)軟件開發(fā)生命周期的討論，在下面的發(fā)言觀點(diǎn)中，正確的是（）A、軟件安全開發(fā)生命周期較長，階段較多，而其中最重要的是要在軟件的編碼階段做好安全措施，就可以解決９０％以上的安全問題B、應(yīng)當(dāng)盡早在軟件開發(fā)的需求和設(shè)計(jì)階段就增加一定的安全措施，這樣可以比在軟件發(fā)布以后進(jìn)行漏洞修復(fù)所花的代價(jià)少的多。C、和傳統(tǒng)的軟件開發(fā)階段相比，微軟提出的安全開發(fā)生命周期的最大特點(diǎn)是增加了一個(gè)抓們的安全編碼階段D、軟件的安全測試也很重要，考慮到程序員的專業(yè)性，如果該開發(fā)人員已經(jīng)對軟件進(jìn)行了安全性測試，就沒有必要再組織第三方進(jìn)行安全性測試【正確答案】：B解析：

正確答案為B。68.某單位系統(tǒng)管理員對組織內(nèi)核心資源的訪問制定訪問策略，針對每個(gè)用戶指明能夠訪問的資源，對于不在指定資源列表中的對象不允許訪問。該訪問控制策略屬于以下哪一種：A、強(qiáng)制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制【正確答案】：C69.選擇信息系統(tǒng)部署的場地應(yīng)考慮組織機(jī)構(gòu)對信息安全的需求并將安全性防在重要的位置，信息資產(chǎn)的保

護(hù)很大程度上取決與場地的安全性，一個(gè)部署在高風(fēng)險(xiǎn)場所的額信息系統(tǒng)是很難有效的保障信息資產(chǎn)安全性

的。為了保護(hù)環(huán)境安全，在下列選項(xiàng)中，公司在選址時(shí)最不應(yīng)該選址的場地是().A、自然災(zāi)害較少的城市B、部署嚴(yán)格監(jiān)控的獨(dú)立園區(qū)C、大型醫(yī)院旁的建筑D、加油站旁的建筑【正確答案】：D70.信息安全風(fēng)險(xiǎn)評估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)，在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》(國信辦(2006)5號)中，風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)工作原則和要求，下面選項(xiàng)中描述正確的是()。A、信息安全風(fēng)險(xiǎn)評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充B、信息安全風(fēng)險(xiǎn)評估應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充C、自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并長期使用D、自評估和檢查評估是相互排斥的，無特殊理由單位均應(yīng)選擇檢查評估，以保證安全效果【正確答案】：A解析：

A為正確答案。71.小王是某大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的學(xué)生，最近因?yàn)樯∪毕藥滋眯畔踩n程，這幾次課的內(nèi)容是自主訪問控制與強(qiáng)制訪問控制，為了趕上課程進(jìn)度，他向同班的小李借來課堂筆記，進(jìn)行自學(xué)。而小李在聽課時(shí)由于經(jīng)常走神，所以筆記中會出現(xiàn)一些錯(cuò)誤。下列選項(xiàng)是小李筆記中關(guān)于強(qiáng)制訪問控制模型的內(nèi)容，其中出現(xiàn)錯(cuò)誤的選項(xiàng)是（）A、強(qiáng)制訪問控制是指主體和客體都有一個(gè)固定的安全屬性，系統(tǒng)用該安全屬性來決定一個(gè)主體是否可以訪問某個(gè)客體B、安全屬性是強(qiáng)制性的規(guī)定，它由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則確定，不能隨意修改C、系統(tǒng)通過比較客體和主體的安全屬性來決定主體是否可以訪問客體D、它是一種對單個(gè)用戶執(zhí)行訪問控制的過程控制措施【正確答案】：D72.具有行政法律責(zé)任強(qiáng)制的安全管理規(guī)定和安全制度包括

1）安全事件（包括安全事故）報(bào)告制度

2）安全等級保護(hù)制度

3）信息系統(tǒng)安全監(jiān)控

4）安全專用產(chǎn)品銷售許可證制度A、1，2，4B、2，3C、2，3,4D、1，2,3【正確答案】：A解析：

1\2\4均為管理規(guī)定和安全制度。73.關(guān)于軟件安全開發(fā)生命周期(SDL)，下面說法錯(cuò)誤的是：A、在軟件開發(fā)的各個(gè)周期都要考慮安全因素B、軟件安全開發(fā)生命周期要綜合采用技術(shù)、管理和工程等手段C、測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本D、在設(shè)計(jì)階段就盡可能發(fā)現(xiàn)并改正安全隱患，將極大減少整個(gè)軟件開發(fā)成本【正確答案】：C解析：

設(shè)計(jì)階段是發(fā)現(xiàn)和改正問題的最佳階段。74.某市環(huán)衛(wèi)局網(wǎng)絡(luò)建設(shè)是當(dāng)?shù)卣顿Y的重點(diǎn)項(xiàng)目?？傮w目標(biāo)就是用于交換式千兆以太網(wǎng)為主干，超五類雙絞線作水平布線，由大型交換機(jī)和路由器連通幾個(gè)主要的工作區(qū)域，在各區(qū)域建立一個(gè)閉路電視監(jiān)控系統(tǒng)，再把信號通過網(wǎng)絡(luò)傳輸?shù)礁鞅O(jiān)控中心，其中對交換機(jī)和路由器進(jìn)行配置是網(wǎng)絡(luò)安全中的一個(gè)不可缺少的步驟，下面對于交換機(jī)和路由器的安全配置，操作錯(cuò)誤的是()A、保持當(dāng)前版本的操作系統(tǒng)，不定期更新交換機(jī)操作系統(tǒng)補(bǔ)丁B、控制交換機(jī)的物理訪問端口，關(guān)閉空閑的物理端口C、帶外管理交換機(jī)，如果不能實(shí)現(xiàn)的話，可以利用單獨(dú)的VLAN號進(jìn)行帶內(nèi)管理D、安全配置必要的網(wǎng)絡(luò)服務(wù)，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)【正確答案】：A解析：

交換機(jī)和路由器的管理包括了版本更新，也包括了補(bǔ)丁管理。75.關(guān)于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個(gè)不斷演進(jìn)、循環(huán)發(fā)展的動態(tài)過程，不是一成不變的C、信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，既有效的管理依賴于良好的技術(shù)基礎(chǔ)D、堅(jiān)持管理與技術(shù)并重的原則，是我國加強(qiáng)信息安全保障工作的主要原則之一【正確答案】：C解析：

C是片面的，應(yīng)為技管并重。76.關(guān)于源代碼審核，下列說法正確的是：A、人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補(bǔ)這個(gè)缺點(diǎn)B、源代碼審核通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障，從而定位可能導(dǎo)致安全弱點(diǎn)的薄弱之處C、使用工具進(jìn)行源代碼審核，速度快，準(zhǔn)確率高，已經(jīng)取代了傳統(tǒng)的人工審核D、源代碼審核是對源代碼檢查分析，檢測并報(bào)告源代碼中可能導(dǎo)致安全弱點(diǎn)的薄弱之處【正確答案】：D解析：

D為源代碼審核工作內(nèi)容描述。77.COBIT（信息和相關(guān)技術(shù)的控制目標(biāo)）是國際專業(yè)協(xié)會ISACA為信息技術(shù)（IT）管理和IT治理創(chuàng)建的良

好實(shí)踐框架。COBIT提供了一套可實(shí)施的“信息技術(shù)控制”并圍繞IT相關(guān)流程和推動因素的邏輯框架進(jìn)行組

織。COBIT模型按照流程，請問，COBIT組件包括（）、()、（）、（）、（）等部分。A、流程描述、框架、控制目標(biāo)、管理指南、成熟度模型B、框架、流程描述、管理目標(biāo)、控制目標(biāo)、成熟度模型C、框架、流程描述、控制目標(biāo)、管理指南、成熟度模型D、框架、管理指南、流程描述、控制目標(biāo)、成熟度模型【正確答案】：C78.2005年，RFC4301（RequestforComments4301:SecurityArchitecturefortheInternetProtocol）發(fā)布，用以取代原先的RFC2401，該標(biāo)準(zhǔn)建議規(guī)定了IPsec系統(tǒng)基礎(chǔ)架構(gòu)，描述如何在IP層（IPv4/IPv6）位流量提供安全業(yè)務(wù)。請問此類RFC系列標(biāo)準(zhǔn)建議是由下面哪個(gè)組織發(fā)布的（）。A、國際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization，ISO）B、國際電工委員會（InternationalElectrotechnicalCommission，IEC）C、國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織（ITUTelecommunicationStandardizationSecctor，ITU-T）D、Internet工程任務(wù)組（InternetEngineeringTaskForce，IETF）【正確答案】：D解析：

D為正確答案。79.DSA（數(shù)字簽名算法）不提供以下哪種服務(wù)?A、數(shù)據(jù)完整性B、加密C、數(shù)字簽名D、認(rèn)證【正確答案】：B80.若一個(gè)組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在人力資源安全方面實(shí)施常規(guī)控制，人力資源安全劃分為3個(gè)控制階段，不包括哪一項(xiàng)（）A、任用之前B、任用中C、任用終止或變化D、任用后【正確答案】：D81.基于TCP的主機(jī)在進(jìn)行一次TCP連接時(shí)簡要進(jìn)行三次握手，請求通信的主機(jī)A要與另一臺主機(jī)B建立連接時(shí)，A需要先發(fā)一個(gè)SYN數(shù)據(jù)包向B主機(jī)提出連接請示，B收到后，回復(fù)一個(gè)ACK/SYN確認(rèn)請示給A主機(jī)，然后A再次回應(yīng)ACK數(shù)據(jù)包，確認(rèn)連接請求。攻擊通過偽造帶有虛假源地址的SYN包給目標(biāo)主機(jī)，使目標(biāo)主機(jī)發(fā)送的ACK/SYN包得不到確認(rèn)。一般情況下，目標(biāo)主機(jī)會等一段時(shí)間后才會放棄這個(gè)連接等待。因此大量虛假SYN包同時(shí)發(fā)送到目標(biāo)主機(jī)時(shí)，目標(biāo)主機(jī)上就會有大量的連接請示等待確認(rèn)，當(dāng)這些未釋放的連接請示數(shù)量超過目標(biāo)主機(jī)的資源限制時(shí)。正常的連接請示就不能被目標(biāo)主機(jī)接受，這種SYNFlood攻擊屬于（）A、拒絕服務(wù)攻擊B、分布式拒絕服務(wù)攻擊C、緩沖區(qū)溢出攻擊D、SQL注入攻擊【正確答案】：A82.以下哪一項(xiàng)是數(shù)據(jù)完整性得到保護(hù)的例子?A、某網(wǎng)站在訪問量突然增加時(shí)對用戶連接數(shù)量進(jìn)行了限制，保證已經(jīng)登錄的用戶可以完成操作

B、在提款過程中ATM終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時(shí)對該用戶的賬戶余額進(jìn)行了沖正操作

C、某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計(jì)功能，可以確定哪個(gè)管理員在何時(shí)對核心交換機(jī)進(jìn)行了什么操作

D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看【正確答案】：B解析：

解釋：A為可用性，B為完整性，C是抗抵賴，D是保密性。沖正是完整性糾正措施，是Clark-Wilson模型的應(yīng)用，解決數(shù)據(jù)變化過程的完整性。83.小張是信息安全風(fēng)險(xiǎn)管理方面的專家，被某單位邀請過去對其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險(xiǎn)進(jìn)行評估，已知：核心機(jī)房的總價(jià)價(jià)值一百萬，災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二成四(24%)，歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后得到的年度預(yù)期損失為多少：A、24萬B、0．09萬C、37．5萬D、9萬【正確答案】：D解析：

計(jì)算公式為100萬*24%*（3/8）=9萬84.為了防止授權(quán)用戶不會對數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的修改，需要實(shí)施對數(shù)據(jù)的完整性保護(hù)，下列哪一項(xiàng)最好地

描述了星或（·-）完整性原則？（）A、Bell-LaPadula模型中的不允許向下寫B(tài)ell-LaPadula模型中的不允許向上讀C、Biba模型中的不允許向上寫D、Biba模型中的不允許向下讀【正確答案】：C85.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C解析：

答案為C。86.對信息安全風(fēng)險(xiǎn)評估要素理解正確的是：A、資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)B、應(yīng)針對構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評價(jià)C、脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項(xiàng)D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅【正確答案】：A解析：

B錯(cuò)誤，應(yīng)該是抽樣評估；C錯(cuò)誤，應(yīng)該其描述的是差距分析；D錯(cuò)誤，應(yīng)該是威脅包括人為威脅和環(huán)境威脅。87.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ＩCＭＰ流量上升了２５０％，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題。但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對策略，作為主管負(fù)責(zé)人，請選擇有效的針對此問題的應(yīng)對措施：A、在防火墻上設(shè)置策略，阻止所有的ＩCＭＰ流量進(jìn)入B、刪除服務(wù)器上的ｐｉｎｇ．ｅｘｅ程序C、增加帶寬以應(yīng)對可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)器以應(yīng)對即將來臨的拒絕服務(wù)攻擊【正確答案】：A解析：

A是應(yīng)對措施。88.以下關(guān)于軟件安全測試說法正確的是（）A、軟件安全測試就是黑盒測試B、FUZZ模糊測試是經(jīng)常采用的安全測試方法之一C、軟件安全測試關(guān)注的是軟件的功能D、軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題【正確答案】：B解析：

B是正確答案。89.Windows操作系統(tǒng)的注冊表運(yùn)行命令是：A、Regsvr32B、RegeditC、Regedit.mscD、Regedit.mmc【正確答案】：B90.有關(guān)系統(tǒng)安全工程-能力成熟度模型(SSE-CMM)，錯(cuò)誤的理解是：A、SSE-CMM要求實(shí)施組織與其他組織相互作用，如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等B、SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目C、基手SSE-CMM的工程是獨(dú)立工程，與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施D、SSE-CMM覆蓋整個(gè)組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動【正確答案】：C解析：

SSE-CMM是系統(tǒng)工程，不可以獨(dú)立實(shí)施。91.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等4部分聯(lián)合發(fā)布《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字[2004]66號)，對等級保護(hù)工作的開展提供宏觀指導(dǎo)和約束，明確了等級保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等，關(guān)于該文件，下面理解正確的是A、該文件時(shí)一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級保護(hù)工作，其內(nèi)容不能越蘇到2005年及之后的工作C、該文件時(shí)一個(gè)總體性知道文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護(hù)定級范圍D、該文件使用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位【正確答案】：A解析：

答案為A。92.小王在學(xué)習(xí)定量風(fēng)險(xiǎn)評估方法后，決定試著為單位機(jī)房計(jì)算火災(zāi)的風(fēng)險(xiǎn)大小，假設(shè)單位機(jī)房的總價(jià)值為400萬元人民幣，暴露系數(shù)是25%，年度發(fā)生率為0.2，那么小王計(jì)算的年度預(yù)期損失應(yīng)該是（）A、100萬元人民幣B、400萬元人民幣C、20萬元人民幣D、180萬元人民幣【正確答案】：C解析：

根據(jù)ALE=SLE*ARO=AV*EF*ARO的公式進(jìn)行計(jì)算。93.風(fēng)險(xiǎn)要素識別是風(fēng)險(xiǎn)評估實(shí)施過程中的一個(gè)重要步驟，小李將風(fēng)險(xiǎn)要素識別的主要過程使用圖形來表示，如下圖所示，請為圖中空白框處選擇一個(gè)最合適的選項(xiàng)()。

A、識別面臨的風(fēng)險(xiǎn)并賦值B、識別存在的脆弱性并賦值C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性【正確答案】：B94.不同的信息安全風(fēng)險(xiǎn)評估方法可能得到不同的風(fēng)險(xiǎn)評估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際情況選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評估方法。下面的描述中錯(cuò)誤的是（）。A、定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對安全風(fēng)險(xiǎn)進(jìn)行評估，得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，以度量風(fēng)險(xiǎn)的可能性和缺失量B、定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定量風(fēng)險(xiǎn)分析，而不應(yīng)用定性風(fēng)險(xiǎn)分析C、定性風(fēng)險(xiǎn)分析過程中，往往需要憑借分析者的經(jīng)驗(yàn)和直接進(jìn)行，所以分析結(jié)果和風(fēng)險(xiǎn)評估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識技能密切相關(guān)D、定性風(fēng)險(xiǎn)分析更具主觀性，而定量風(fēng)險(xiǎn)分析更具客觀性【正確答案】：B解析：

實(shí)際工作中根據(jù)情況選擇定量、定性或定量與定性相結(jié)合。95.在網(wǎng)絡(luò)信息系統(tǒng)中對用戶進(jìn)行認(rèn)證識別時(shí)，口令是一種傳統(tǒng)但仍然使用廣泛的方法，口令認(rèn)證過程中常常使用靜態(tài)口令和動態(tài)口令。下面找描述中錯(cuò)誤的是（）A、所謂靜態(tài)口令方案，是指用戶登錄驗(yàn)證身份的過程中，每次輸入的口令都是固定、靜止不變的B、使用靜態(tài)口令方案時(shí)，即使對口令進(jìn)行簡單加密或哈希后進(jìn)行傳輸，攻擊者依然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認(rèn)證模塊C、動態(tài)口令方案中通常需要使用密碼算法產(chǎn)生較長的口令序列，攻擊者如果連續(xù)地收集到足夠多的歷史口令，則有可能預(yù)測出下次要使用的口令D、通常，動態(tài)口令實(shí)現(xiàn)方式分為口令序列、時(shí)間同步以及挑戰(zhàn)/應(yīng)答等幾種類型【正確答案】：C解析：

動態(tài)口令方案要求其口令不能被收集和預(yù)測。96.以下哪個(gè)選項(xiàng)不是信息安全需求的來源?A、法律法規(guī)與合同條約的要求B、組織的原則、目標(biāo)和規(guī)定C、風(fēng)險(xiǎn)評估的結(jié)果D、安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞預(yù)警【正確答案】：D解析：

安全需求來源于內(nèi)部驅(qū)動，D是外部參考要素，不屬于信息安全需求的主要來源。97.為了解風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，應(yīng)當(dāng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評估活動，我國有關(guān)文件指出：風(fēng)險(xiǎn)評估的工作形式可分為自評估和檢查評估兩種，關(guān)于自評估，下面選項(xiàng)中描述錯(cuò)誤的是()。A、自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估B、自評估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評估方案和準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實(shí)施C、自評估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)來實(shí)施D、周期性的自評估可以在評估流程上適當(dāng)簡化，如重點(diǎn)針對上次評估后系統(tǒng)變化部分進(jìn)行【正確答案】：C解析：

自評估可以委托社會風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)來實(shí)施。98.自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制表（ACL）來表示，該ACL利用在客體上附加

一個(gè)主體明細(xì)表的方法來表示訪問控制矩陣，通常使用由客體指向的鏈表來存儲相關(guān)數(shù)據(jù)。下面選項(xiàng)中說法

正確的是（）。ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B、ACL在刪除用戶時(shí)，去除該用戶所有的訪問權(quán)限比較方便C、ACL對于統(tǒng)計(jì)某個(gè)主體能訪問哪些客體比較方便D、ACL在增加和修改哪些客體被主體訪問比較方便【正確答案】：D99.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進(jìn)行安全性測試，以下關(guān)于模糊測試過程的說法正確的是：A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B、數(shù)據(jù)處理點(diǎn)、數(shù)據(jù)通道的入口點(diǎn)和可信邊界點(diǎn)往往不是測試對象C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運(yùn)行的情況D、深入分析測試過程中產(chǎn)生崩潰或異常的原因，必要時(shí)需要測試人員手工重現(xiàn)并分析【正確答案】：D解析：

A錯(cuò)，模糊測試是模擬異常輸入；B錯(cuò)，入口與邊界點(diǎn)是測試對象；C模糊測試記錄和檢測異常運(yùn)行情況。100.信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取?A、機(jī)構(gòu)的使命B、機(jī)構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo)C、機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D、機(jī)構(gòu)的組織結(jié)構(gòu)和管理制度【正確答案】：C解析：

業(yè)務(wù)特性從機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程獲取。101.軟件存在漏洞和缺陷是不可避免的，實(shí)踐中常使用軟件缺陷密度（Dｅｆｅｃｔｓ／ＫＬＯC）來衡量軟件的安全性，假設(shè)某個(gè)軟件共有２９．６萬行源代碼，總共被檢測出１４５個(gè)缺陷，則可以計(jì)算出其軟件缺陷密度值是A、０．０００４９B、０．０４９C、０．４９D、４９【正確答案】：C解析：

千行代碼缺陷率計(jì)算公式，145/(29.5*10)=0.49。102.從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯(cuò)誤的是：A、系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險(xiǎn)，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個(gè)生存期的工程實(shí)施指南。B、系統(tǒng)安全工程需對安全機(jī)制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實(shí)踐能力的方法，是一種使用面向開發(fā)的方法。D、系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，通過對安全工作過程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€(gè)完好定義的、成熟的、可測量的先進(jìn)學(xué)科?！菊_答案】：D解析：

SSE-CMM是面向工程過程質(zhì)量控制的一套方法,CC標(biāo)準(zhǔn)面向開發(fā)、評估、交付的標(biāo)準(zhǔn)。103.目前應(yīng)用面臨的威脅越來越多，越來越難發(fā)現(xiàn)。對應(yīng)用系統(tǒng)潛在的威脅目前還沒有統(tǒng)一的分類，但小趙

認(rèn)為同事小李從對應(yīng)用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項(xiàng)例子中有一項(xiàng)不對，請問是下面哪一項(xiàng)（）A、數(shù)據(jù)訪問權(quán)限B、偽造身份C、釣魚攻擊D、遠(yuǎn)程滲透【正確答案】：A104.某計(jì)算機(jī)機(jī)房由于人員疏忽或設(shè)備老化可能會有發(fā)生火災(zāi)的風(fēng)險(xiǎn)。該計(jì)算機(jī)機(jī)房的資產(chǎn)價(jià)值為200萬元；

如果發(fā)生火災(zāi)，資產(chǎn)總值將損失至資產(chǎn)值的25%；這種火災(zāi)發(fā)生的可能性為25年發(fā)生一次。則這種威脅的年

度損失預(yù)期值為().A、10,000元B、15,000元C、20,000元D、25,000元【正確答案】：C105.下面有關(guān)軟件安全問題的描述中，哪項(xiàng)應(yīng)是由于軟件設(shè)計(jì)缺陷引起的（）A、設(shè)計(jì)了三層WEB架構(gòu)，但是軟件存在SQL注入漏洞，導(dǎo)致被黑客攻擊后直接訪問數(shù)據(jù)庫B、使用C語言開發(fā)時(shí)，采用了一些存在安全問題的字符串處理函數(shù)，導(dǎo)致存在緩沖區(qū)溢出漏洞C、設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)D、使用了符合要求的密碼算法，但在使用算法接口時(shí)，沒有按照要求生成密鑰，導(dǎo)致黑客攻擊后能破解并得到明文數(shù)據(jù)【正確答案】：C106.張三將微信個(gè)人頭像換成微信群中某好友頭像，并將昵稱改為該好友的昵稱，然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊?A、口令攻擊B、暴力破解C、拒絕服務(wù)攻擊D、社會工程學(xué)攻擊【正確答案】：D解析：

D屬于社會工程學(xué)攻擊。107.以下哪個(gè)現(xiàn)象較好的印證了信息安全特征中的動態(tài)性()A、經(jīng)過數(shù)十年的發(fā)展，互聯(lián)網(wǎng)上已經(jīng)接入了數(shù)億臺各種電子設(shè)備B、剛剛經(jīng)過風(fēng)險(xiǎn)評估并針對風(fēng)險(xiǎn)采取處理措施后，僅一周新的系統(tǒng)漏洞使得信息系統(tǒng)面臨新的風(fēng)險(xiǎn)C、某公司的信息系統(tǒng)面臨了來自美國的“匿名者”黑客組織的攻擊D、某公司盡管部署了防火墻、防病毒等安全產(chǎn)品，但服務(wù)器中數(shù)據(jù)仍產(chǎn)生了泄露【正確答案】：B108.下列哪一種方法屬于基于實(shí)體“所有”鑒別方法：A、用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B、用戶使用個(gè)人指紋，通過指紋識別系統(tǒng)的身份鑒別C、用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送挑戰(zhàn)進(jìn)行正確應(yīng)答，通過身份鑒別D、用戶使用集成電路卡(如智能卡)完成身份鑒別【正確答案】：D解析：

實(shí)體所有鑒別包括身份證、IC卡、鑰匙、USB-Key等。109.防火墻是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)中常采用的一類產(chǎn)品，它在內(nèi)外網(wǎng)隔離方面的作用是（）。A、既能物理隔離，又能邏輯隔離B、能物理隔離，但不能邏輯隔離C、不能物理隔離，但是能邏輯隔離D、不能物理隔離，也不能邏輯隔離【正確答案】：C110.關(guān)于信息安全事件和應(yīng)急響應(yīng)的描述不正確的是（）A、信息安全事件，是指由于自然或人為以及軟、硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響事件B、至今已有一種信息安全策略或防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護(hù)，這就使得信息安全事件的發(fā)生是不可能的C、應(yīng)急響應(yīng)是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施D、應(yīng)急響應(yīng)工作與其他信息安全管理工作將比有其鮮明的特點(diǎn)：具有高技術(shù)復(fù)雜性志專業(yè)性、強(qiáng)突發(fā)性、對知識經(jīng)驗(yàn)的高依賴性，以及需要廣泛的協(xié)調(diào)與合作【正確答案】：B解析：

目前不存在一種信息安全策略或防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供絕對的保護(hù)。111.在信息安全管理的實(shí)施過程中，管理者的作用于信息安全管理體系能否成功實(shí)施非常重要，但是一下選項(xiàng)中不屬于管理者應(yīng)有職責(zé)的是（）A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計(jì)劃得以制定，目標(biāo)應(yīng)明確、可度量，計(jì)劃應(yīng)具體、可事實(shí)C、向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性D、建立健全信息安全制度，明確安全風(fēng)險(xiǎn)管理作用，實(shí)施信息安全風(fēng)險(xiǎn)評估過程、確保信息安全風(fēng)險(xiǎn)評估技術(shù)選擇合理、計(jì)算正確【正確答案】：D解析：

D不屬于管理者的職責(zé)。112.小李在檢查公司對外服務(wù)網(wǎng)站的源代碼時(shí)，發(fā)現(xiàn)程序在發(fā)生諸如沒有找到資源、數(shù)據(jù)庫連接錯(cuò)誤、寫臨

時(shí)文件錯(cuò)誤等問題時(shí)，會將詳細(xì)的錯(cuò)誤原因在結(jié)果頁面上顯示出來。從安全角度考慮，小李決定修改代碼。

將詳細(xì)的錯(cuò)誤原因都隱藏起來，在頁面上僅僅告知用戶“抱歉。發(fā)生內(nèi)部錯(cuò)誤!”.請問，這種處理方法的主

要目的是()。A、避免緩沖區(qū)溢出B、安全處理系統(tǒng)異常C、安全使用臨時(shí)文件D、最小化反饋信息【正確答案】：D113.微軟提出了STRIDE模型，其中R是Repudiation(抵賴)的縮寫，此項(xiàng)錯(cuò)誤的是（）A、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)"軟件R威脅B、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹蓖{也屬于R威脅。C、對于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)D、對于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù)【正確答案】：D解析：

R-抵賴是無法通過過濾、流控和隱私保護(hù)實(shí)現(xiàn)的，R-抵賴的實(shí)現(xiàn)方式包括數(shù)字簽名、安全審計(jì)、第三方公證。114.為增強(qiáng)Web應(yīng)用程序的安全性，某軟件開發(fā)經(jīng)理決定加強(qiáng)Web軟件安全開發(fā)培訓(xùn)，下面哪項(xiàng)內(nèi)容不在考慮范圍內(nèi)（）A、關(guān)于網(wǎng)站身份簽別技術(shù)方面安全知識的培訓(xùn)B、針對OpenSSL心臟出血漏洞方面安全知識的培訓(xùn)C、針對SQL注入漏洞的安全編程培訓(xùn)D、關(guān)于ARM系統(tǒng)漏洞挖掘方面安全知識的培訓(xùn)【正確答案】：D解析：

D屬于ARM系統(tǒng)，不屬于WEB安全領(lǐng)域。115.在國家標(biāo)準(zhǔn)GB/T20274.1-2006《信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》

中，信息系統(tǒng)安全保障模型包含哪幾個(gè)方面?（）A、保障要素、生命周期和運(yùn)行維護(hù)B、保障要素、生命周期和安全特征C、規(guī)劃組織、生命周期和安全特征D、規(guī)劃組織、生命周期和運(yùn)行維護(hù)【正確答案】：B116.隨著“互聯(lián)網(wǎng)”概念的普及，越來越多的新興住宅小區(qū)引入了“智能樓宇”的理念，某物業(yè)為提供高檔次的服務(wù)，防止網(wǎng)絡(luò)主線路出現(xiàn)故障，保證小區(qū)內(nèi)網(wǎng)絡(luò)服務(wù)的可用，穩(wěn)定、高效，計(jì)劃通過網(wǎng)絡(luò)冗余配置的是（）。A、接入互聯(lián)網(wǎng)時(shí)，同時(shí)采用不同電信運(yùn)營商線路，相互備份且互不影響。B、核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機(jī)設(shè)備。C、規(guī)劃網(wǎng)絡(luò)IP地址，制定網(wǎng)絡(luò)IP地址分配策略D、保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具務(wù)冗余空間，滿足業(yè)務(wù)高峰期和業(yè)務(wù)發(fā)展需求【正確答案】：B117.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安全風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式，該部門將有檢查評估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是A、檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點(diǎn)是針對存在的問題進(jìn)行檢查和評測C、檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)【正確答案】：B解析：

檢查評估由上級管理部門組織發(fā)起；本級單位發(fā)起的為自評估。118.常見密碼系統(tǒng)包含的元素是：A、明文，密文，信道，加密算法，解密算法B、明文，摘要，信道，加密算法，解密算法C、明文，密文，密鑰，加密算法，解密算法D、消息，密文，信道，加密算法，解密算法【正確答案】：C119.某購物網(wǎng)站開發(fā)項(xiàng)目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計(jì)階段，為了保證用戶賬戶的安全，項(xiàng)目開發(fā)人員決定用戶登陸時(shí)除了用戶名口令認(rèn)證方式外，還加入基于數(shù)字證書的身份認(rèn)證功能，同時(shí)用戶口令使用SHA-1算法加密后存放在后臺數(shù)據(jù)庫中，請問以上安全設(shè)計(jì)遵循的是哪項(xiàng)安全設(shè)計(jì)原則：A、最小特權(quán)原則B、職責(zé)分離原則C、縱深防御原則D、最少共享機(jī)制原則【正確答案】：C解析：

題目描述的是軟件開發(fā)的深度防御思想應(yīng)用。120.數(shù)據(jù)在進(jìn)行傳輸前，需要由協(xié)議自上而下對數(shù)據(jù)進(jìn)行封裝。TCP/IP協(xié)議中，數(shù)據(jù)封裝的順序是：A、傳輸層、網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)絡(luò)層B、傳輸層、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層C、互聯(lián)網(wǎng)絡(luò)層、傳輸層、網(wǎng)絡(luò)接口層D、互聯(lián)網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層、傳輸層【正確答案】：B解析：

答案為B。121.保護(hù)-檢測-響應(yīng)（Protection-Detection-Response,PDR）模型是（）工作中常用的模型，思想是承認(rèn)（）

中漏洞的存在，正視系統(tǒng)面臨的（），通過采取適度防護(hù)、加強(qiáng)（）、落實(shí)對安全事件的響應(yīng)、建立對威脅

的防護(hù)來保障系統(tǒng)的安全。A、信息系統(tǒng)；信息安全保障；威脅；檢測工作B、信息安全保障；信息系統(tǒng)；檢測工作；威脅；檢測工作C、信息安全保障；信息系統(tǒng)；威脅；檢測工作D、信息安全保障；威脅；信息系統(tǒng)；檢測工作【正確答案】：C122.為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等

交易，在此場景中用到下列哪些鑒別方法?A、實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B、實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C、實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D、實(shí)體“所有”以及實(shí)體“行為”的鑒別方法【正確答案】：A解析：

題目中安全登錄會涉及到賬號密碼為實(shí)體所知，智能卡和短信是實(shí)體所有。123.組織內(nèi)人力資源部門開發(fā)了一套系統(tǒng)，用于管理所有員工的各種工資、績效、考核、獎勵(lì)等事宜。所有

員工都可以登錄系統(tǒng)完成相關(guān)需要員工配合的工作，以下哪項(xiàng)技術(shù)可以保證數(shù)據(jù)的保密性：A、SSL加密B、雙因子認(rèn)證C、加密會話cookieD、IP地址校驗(yàn)【正確答案】：A124.ISO／IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于（）A、BS7799-1《信息安全實(shí)施細(xì)則》BS7799-2《信息安全管理體系規(guī)范》C、信息技術(shù)安全評估準(zhǔn)則(簡稱ITSEC)D、信息技術(shù)安全評估通用標(biāo)準(zhǔn)(簡稱CC)【正確答案】：B解析：

BS7799-1發(fā)展為ISO27002；BS7799-2發(fā)展為ISO27001；TCSEC發(fā)展為ITSEC；ITSEC發(fā)展為CC。125.以下哪一項(xiàng)不是工作在網(wǎng)絡(luò)第二層的隧道協(xié)議：A、VTPB、L2FC、PPTPD、L2TP【正確答案】：A解析：

L2F、PPTP、L2TP均為二層隧道協(xié)議。126.以下哪一項(xiàng)不是信息系統(tǒng)集成項(xiàng)目的特點(diǎn)：A、信息系統(tǒng)集成項(xiàng)目要以滿足客戶和用戶的需求為根本出發(fā)點(diǎn)。B、系統(tǒng)集成就是選擇最好的產(chǎn)品和技術(shù)，開發(fā)響應(yīng)的軟件和硬件，將其集成到信息系統(tǒng)的過程。C、信息系統(tǒng)集成項(xiàng)目的指導(dǎo)方法是“總體規(guī)劃、分步實(shí)施”。D、信息系統(tǒng)集成包含技術(shù)，管理和商務(wù)等方面，是一項(xiàng)綜合性的系統(tǒng)工程【正確答案】：B解析：

系統(tǒng)集成就是選擇最適合的產(chǎn)品和技術(shù)。127.小王學(xué)習(xí)了災(zāi)備備份的有關(guān)知識，了解到常用的數(shù)據(jù)備份方式包括完全備份、增量備份、差量備份，為

了鞏固所學(xué)知識，小王對這三種備份方式進(jìn)行對比，其中在數(shù)據(jù)恢復(fù)速度方面三種備份方式由快到慢的順序

是（）A、完全備份、增量備份、差量備份B、完全備份、差量備份、增量備份C、增量備份、差量備份、完全備份D、差量備份、增量備份、完全備份【正確答案】：B128.windows文件系統(tǒng)權(quán)限管理使用訪問控制列表（AccessControlList.ACL）機(jī)制，以下哪個(gè)說法是錯(cuò)誤的：A、安裝Windows系統(tǒng)時(shí)要確保文件格式適用的是NTFS.因?yàn)閃indows的ACL機(jī)制需要NTFS文件格式的支持B、由于Windows操作系統(tǒng)自身有大量文件和目錄，因此很難對每個(gè)文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限，為了使用上的便利,Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C、Windows的ACL機(jī)制中，文件和文件夾的權(quán)限是主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中的D、由于ACL具有很好靈活性，在實(shí)際使用中可以為每一個(gè)文件設(shè)定獨(dú)立擁護(hù)的權(quán)限【正確答案】：C解析：

Windows的ACL機(jī)制中，文件和文件夾的權(quán)限是客體關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在客體文件和文件夾屬性數(shù)據(jù)庫中。129.為某航空公司的訂票系統(tǒng)設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，最適用于異地?cái)?shù)據(jù)轉(zhuǎn)移/備份的方法是：A、文件映像處理B、電子鏈接C、硬盤鏡像D、熱備援中心配置【正確答案】：D130.ApacheHTTPServer（簡稱Apache）是個(gè)開放源碼的Web服務(wù)運(yùn)行平臺，在使用過程中，該軟件默認(rèn)會將自己的軟件名和版本號發(fā)送給客戶端。從安全角度出發(fā)，為隱藏這些信息，應(yīng)當(dāng)采取以下哪種措施()A、不選擇Windons平臺，應(yīng)選擇在Linux平臺下安裝使用B、安裝后,修改配置文件httpd.conf中的有關(guān)參數(shù)C、安裝后,刪除ApacheHTTPServer源碼D、從正確的官方網(wǎng)站下載ApacheHTTPServer.并安裝使用【正確答案】：B131.某公司正在進(jìn)行IT系統(tǒng)災(zāi)難恢復(fù)測試，下列問題中哪個(gè)最應(yīng)該引起關(guān)注()A、由于有限的測試時(shí)間窗，僅僅測試了最必須的系統(tǒng)，其他系統(tǒng)在今年的剩余時(shí)間里陸續(xù)單獨(dú)測試B、在測試的過程中，有些備份系統(tǒng)有缺陷或者不能正常工作，從而導(dǎo)致這些系統(tǒng)的測試失敗C、在開啟備份站點(diǎn)之前關(guān)閉和保護(hù)原生產(chǎn)站點(diǎn)的過程比計(jì)劃需要多得多的時(shí)間D、每年都是由相同的員工執(zhí)行此測試，由于所有的參與者都很熟悉每一個(gè)恢復(fù)步驟，因而沒有使用災(zāi)難恢復(fù)

計(jì)劃（DRP）文檔【正確答案】：B132.在GB／T18336《信息技術(shù)安全性評估準(zhǔn)則》（CC標(biāo)準(zhǔn)）中，有關(guān)保護(hù)輪廓(ProtectionProfile，PP)和安全目標(biāo)(SecurityTarget，ST)，錯(cuò)誤的是：A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無關(guān)C、兩份不同的ST不可能滿足同一份PP的要求D、ST與具體的實(shí)現(xiàn)有關(guān)【正確答案】：C解析：

兩份不同的ST可以同時(shí)滿足同一份PP的要求。133.下列關(guān)于計(jì)算機(jī)病毒感染能力的說法不正確的是：A、能將自身代碼注入到引導(dǎo)區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模板的宏中代碼【正確答案】：C解析：

代碼注入文本文件中不能執(zhí)行。134.關(guān)于惡意代碼，以下說法錯(cuò)誤的是：A、從傳播范圍來看，惡意代碼呈現(xiàn)多平臺傳播的特征。B、按照運(yùn)行平臺，惡意代碼可以分為網(wǎng)絡(luò)傳播型病毒、文件傳播型病毒。C、不感染的依附性惡意代碼無法單獨(dú)執(zhí)行D、為了對目標(biāo)系統(tǒng)實(shí)施攻擊和破壞，傳播途徑是惡意代碼賴以生存和繁殖的基本條件【正確答案】：B解析：

按照運(yùn)行平臺，惡意代碼可以分為Windows平臺、Linux平臺、工業(yè)控制系統(tǒng)等。135.關(guān)于信息安全管理，說法錯(cuò)誤的是：A、信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù))而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。B、信息安全管理是一個(gè)多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計(jì)機(jī)制等多方面非技術(shù)性的努力。C、實(shí)現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個(gè)靜態(tài)過程?！菊_答案】：D解析：

信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個(gè)動態(tài)過程。136.隨著信息安全涉及的范圍越來越廣，各個(gè)組織對信息安全管理的需求越來越迫切。越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS。下

面描述錯(cuò)誤的是（）。A、在組織中，應(yīng)由信息技術(shù)責(zé)任部門(如信息中心)制定井頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計(jì)劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險(xiǎn)管理計(jì)劃應(yīng)具體，具備可行性C、組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)。應(yīng)包括全體員工，同時(shí)，也應(yīng)傳達(dá)到客戶、合作伙伴和供應(yīng)商等外部各方D、組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)可接受級別和風(fēng)險(xiǎn)可接受準(zhǔn)則，并確認(rèn)接受相關(guān)殘